Спецпроекты

ПО Безопасность Бизнес ИТ в госсекторе

В США создана госпрограмма по сокрытию от общественности уязвимостей в популярном ПО

В США опубликовали регламент, по которому осуществляется отбор уязимостей в программном обеспечении для дальнейшего использования в правоохранительных и разведывательных интересах.

Сбор уязвимостей в США

В США опубликовали новую версию документа, который подробно описывает, какие государственные агентства этой страны вовлечены в процесс сбора информации о багах в распространенном ПО и эксплойтах для них, и по каким критериям они выбирают, какие уязвимости сохранить в тайне, а о каких уведомлять вендоров уязвимого софта.

Согласно документу, отбором уязвимостей занимается комиссия, состоящая из представителей сразу десяти правительственных ведомств, в числе которых ЦРУ, Госдепартамент, министерства обороны, юстиции и финансов.

Каждый месяц эта комиссия собирается для обсуждения выявленных багов и решает, что с ними делать. Критериями оценки служат распространенность уязвимого продукта, простота обнаружения и эксплуатации уязвимости, возможные последствия такой эксплуатации, насколько просто или сложно эту уязвимость исправить и какую оперативную ценность этот баг может представлять для разведывательной или правоохранительной деятельности.

В некоторых случаях Vulnerability Equities Process (VEP, «Регламент сбора ценных уязвимостей») предполагает публикацию сведений о том, как уязвимость можно исправить, но без каких-либо технических подробностей о ней самой. В отдельных случаях право на использование тех или иных уязвимостей будет зарезервировано лишь за определенными ведомствами.

В США официально станут собирать и прятать от общественности уязвимости распространенного ПО

Надзирать за всей процедурой поручено Конгрессу США, которому регулярно будут направляться отчеты об использовании уязвимостей и статистика по раскрытию таковых. Часть данных будет публиковаться открыто, часть останется конфиденциальной.

Опасения экспертов

Главной особенностью документа, которая беспокоит экспертов и правозащитников, является положение, позволяющее государственным агентствам запрашивать разрешение на эксплуатацию тех или иных уязвимостей в обход стандартных процедуры. И хотя по каждому такому случаю решение будет принимать Национальный совет безопасности при правительстве США, не исключено, что как раз наиболее опасные баги и эксплойты будут резервироваться для спецнужд именно таким образом, в обход и VEP, и надзора со стороны Конгресса.

«Можно с изрядной долей уверенности прогнозировать, что наиболее “перспективные” с точки зрения разведки и боевых операций в киберпространстве уязвимости в ПО будут стараться прятать от всех, — считает Олег Галушкин, эксперт по информационной безопасности компании SEC Consult Services. — Ни США, ни другие страны открыто не признают наличия у себя наступательного кибероружия, несмотря на избыточные свидетельства его существования, хотя, конечно, открытая публикация VEP — это шаг в сторону такого признания».

Общее место

Необходимо отметить, что подобным сбором багов так или иначе занимаются правительства всех развитых стран. Эти сведения затем используются для операций в киберпространстве, защиты критической гражданской и военной инфраструктуры, а также при расследовании важных уголовных дел, связанных с использованием информационных технологий.

В США в том или ином виде вышеупомянутый регламент существовал как минимум с конца прошлого десятилетия. Опубликован в открытом доступе он был лишь в 2016 г. —под давлением общественности и, в немалой степени, вследствие иска, поданного Фондом электронного фронтира в соответствии с Актом о свободе информации. Однако и после его публикации возникло немало вопросов относительно того, как данный процесс осуществляется и регулируется.

Роман Георгиев

Короткая ссылка